Skip to main content
Debat

Pas bedre på vores omdømme - det er muligt

Overlæge Jens Lauritsen, Ortopædkirurgisk Afdeling, Ulykkes Analyse Gruppen, Odense Universitetshospital. E-mail: Jens.Lauritsen@ouh.regionsyddanmark.dk

9. jan. 2009
2 min.

Forfatterne til artiklen om personhenførbare og fortrolige data [1] påpeger et meget væsentligt problem, at der ved brug af de pågældende filtyper fra firmaet Microsoft (af nogle kaldet M$) kan eksponeres cpr-numre og lignende. Det grundlæggende problem er - som også angivet i artiklen - at der overhovedet gemmes cpr-numre samme med øvrige data - på trods af Datatilsynets principper. På Datatilsynets hjemmeside (www.datatilsynet.dk) er der de seneste uger kommet flere afgørelser, hvor bl.a. nogle, der har overtrådt dette påbud, er blevet pålagt at kontakte de berørte patienter.

Ærgerligt at der i artiklens metodeafsnit ikke står, hvornår søgningen er udført - øvrige kilder i artiklens litteraturliste er tydeligt anført med dato for internetadgang.

Mens artiklen giver god vejledning i principper, kunne en god praktisk arbejdsmåde, der beskytter mod utilsigtet adgang til data, være: 1) Brugeren definerer sine data og opdeler efter nøglefil (alene id-nummer og cpr-nummer) og indholdsdata (id-nummer og de nødvendige data). En god arbejdsmåde findes dokumenteret [2]. Og brugeren sørger for, at nøglefilen opbevares if. Datatilsynets principper, adskilt fra primærdata, 2) data gemmes i egen private mappe på arbejdspladsen (f.eks. H (home dir)), herved er der adgangskontrol til data, og 3) ved analyse af data anvendes alene data uden cpr-nummer.

Da Id-nummer og cpr-nummer findes i en nøglefil, er data ikke anonymiserede, men dog beskyttede i fornødent omfang, hvilket de ikke er i et regneark.

Jeg vil blot gøre opmærksom på, at der findes mindst en god måde at gemme data på med krypteret cpr-nummer. Det er muligt at gøre med programmet EpiData, som kan downloades gratis fra www.epidata.dk. En udvidet form for databeskyttelse opnås med good clinical practice (GCP)-principperne, som for nylig er beskrevet i en ECRIN-arbejdsgruppe [3]. GCP-principperne indarbejdes for tiden (frem til næste sommer) i EpiData software.

Interesserede i at medvirke i testning kan kontakte mig.

Interessekonflikter: Jens Lauritsen er initiativtager til EpiData.


Referencer

  1. Dahl MR, Vedsted P. Personhenførbare og fortrolige data og resultater på internettet. Ugeskr Læger 2008;170:4027-9.
  2. EpiData Introduktions note. Opbygning af skemaer og efterfølgende indtastning ved hjælp af EpiData. www.epidata.dk/documentation.php (dec 2008).
  3. GCP-compliant data management in multinational clinical trials. Transnational Working Group on Data Christian Ohmann, red. (publications). V1 Sept. 15th. 2008. European Clinical Research Infrastructures Network. http://www.ecrin.org (dec 2008).